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NUTZUNG MIT AUSTAUSCHBAREN KRYPTOGRAPHISCHEN SCHLUSSELN 

(57) Abstract 

The invention relates to a portable data 
carrier, especially a chip card, to store data 
in the form of data records, wherein crypto- 
graphic keys are memorized on the data car- 
rier in order to protect the writing and reading 
of said data records. A series of keys is thus 
stored on the data carrier to perform this task. 
Means are provided to make the keys in the 
data carrier unfit for use. Also disclosed is a 
method for using a data carrier wherein the 
use of each key to read or write data is pre- 
ceded by verification of whether the key is 
older than the key whose identification mark 
is stored on the data carrier. The use of said 
key is denied if the results of the verification 
are positive. 

(57) Zusammenfassung 

Bei einem tragbaren Datentrager, 
insbesondere Chipkarte, zum Speichern von 
Daten in Form von Datensatzen, wobei zur Absicherung des Schreibens und Lesens der Datensatze kryptographische SchlUssel auf dem 
Datentrager gespeichert sind, ist eine Reihe von Schliisseln fur den jeweiligen Verwendungszweck auf dem Datentrager gespeichert. Es 
sind Mittel zur Unbrauchbarmachung von Schliisseln im Datentrager vorgesehen. Es wird ein Verfahren zur Benutzung des Datentragers 
angegeben, wobei vor jeder Benutzung eines Schliissels zum Schreiben oder Lesen von Daten geprtift wird, ob der SchlUssel alter ist als 
derjenige, dessen Identifikationsmerkmal auf dem Datentrager gespeichert ist. Bei positivem Ergebnis dieser Prufung wird die Benutzung 
des Schliissels abgelehnt. 
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Tragbarer Datentrager und Verfahren zu dessen 
kryptographisch gesicherten Benutzung mit austauschbaren 
kryptographischen Schlusseln 



Die Erfindung betrifft einen tragbaren Datentrager, 
insbesondere Chipkarte, zum Speichern von Daten in Form von 
Datensatzen, wobei zur Absicherung des Schreibens und Lesens 
der Datensatze kryptographische Schliissel auf dem 
Datentrager gespeichert sind, sowie ein Verfahren zur 
Benutzung des Datentragers . 

Im taglichen Leben werden haufig Berechtigungen erworben; 
Beispiele dafiir sind die Berechtigung zur Benutzung von 
Verkehrsmitteln oder Schwimmbadern, Auf sogenannten 
Chipkarten, die oft zur Abrechnung von Geldbetragen 
verwendet werden, also zum Beispiel eine elektronische 
Geldborse enthalten, werden heutzutage auch Berechtigungen 
in elektronischer Form gespeichert. 

Damit stehen Mittel zur Verfiigung, die ein umfassendes 
Abrechnungssystem ermoglichen, in dem mit Hilfe nur einer 
Chipkarte je Benutzer elektronische Berechtigungen benutzt 
werden, in dem mit elektronischem Geld bezahlt wird, und 
andere Transaktionen moglich sind. 

Da die sichere Speicherung kryptographischer Schliissel einen 
potentiellen Schwachpunkt bezuglich der Sicherheit eines 
solchen Systems darstellt, mochte man die Verwendbarkeit 
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eines Schliissels zeitlich so eingrenzen, dafi ein Betrug 
durch MiBbrauch von Schliisseln aus Zeitgriinden erschwert 
Oder gar unmoglich wird. Daher stattet man zum Beispiel in 
regelmaBigen Abstanden neu ausgegebene Chipkarten mit neu 
gewahlten Schliisseln aus. Die mit den Chipkarten 
kommunizierenden Sicherhei tsmodule in den Endgeraten des 
Systems, die aus Kostengriinden nur zeitweilig mit den 
diversen Verrechnungsstellen verbunden sind und in der 
restlichen Zeit selbstandig arbeiten, miissen in diesem Fall 
jedoch uber mehrere Generationen von Hauptschliisseln 
verfiigen, urn alle gultigen Karten unterstiitzen zu konnen , 

Falls kein extrem hoher physikalischer Schutz der 
Sicherheitsmodule gegeben ist, stellen die langlebigen 
Hauptschliissel in den Sicherheitsmodulen selbst einen 
sicherheitstechnischen Schwachpunkt dar . 

Der Erfindung liegt nun die Aufgabe zugrunde, eine Anderung 
von moglicherweise aus Sicherheitsmodulen ausgespahten 
Schliisseln zu ermoglichen, ohne da£ damit alle betroffenen 
Chipkarten ausgetauscht werden mussen. Im Falle eines 
Diebstahls von Hauptschliisseln eines Sicherheitsmoduls mufi 
es moglich sein, die entsprechenden Gegenstiicke auf alien im 
Umlauf befindlichen Chipkarten unwirksam zu machen . 

Erf indungsgemaB wird diese Aufgabe bei einem tragbaren 
Datentrager, insbesondere einer Chipkarte, dadurch gelost, 
da£ eine Reihe von Schliisseln fiir den jeweiligen 
Verwendungszweck auf dem Datentrager gespeichert ist und da£ 
Mittel zur Unbrauchbarmachung von Schliisseln im Datentrager 
vorgesehen sind. 

Die Schliissel werden im Normalfall eine bestimmte Zeit lang 
benutzt und auf Befehl einer Zentrale hin bei der nachsten 
Verwendung der Chipkarte unbrauchbar gemacht . Gleichzeitig 
erhalten alle Sicherheitsmodule neue Hauptschliissel, passend 
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zu den auf den Chipkarten aktivierten neuen Schliisseln. 
Diesen Befehl kann man auch dann geben, wenn der bloBe 
Verdacht eines Betrugsversuchs besteht oder wenn ein 
Sicherheitsmodul gestohlen wurde. Ein potentieller Betriiger 
hat damit wenig Zeit, einen Betrug gewinnbringend 
auszuf ilhren . 

Eine erste Weiterbildung des erf indungsgemaBen Datentragers 
besteht darin, daB als Mittel zur Unbrauchbarmachung ein 
Zahler vorgesehen ist, wobei jedem Schliissel auf dem 
Datentrager ein Zahlerwert zugeordnet ist, daB der Zahler 
nicht dekrementierbar ist und daB diejenigen Schliissel 
unbrauchbar sind, deren Zahlerwert kleiner als der 
Zahlerstand ist. Es wird nun auf Befehl einer Zentrale hin 
bei der nachsten Verwendung der Chipkarte der Zahler 
inkrementiert und damit ist der bis dahin verwendete 
Schliissel ungiiltig. Samtliche Sicherheitsmodule werden mit 
neuen Hauptschliisseln versorgt . Der Benutzer nimmt von dem 
Vorgang keine Notiz. 

Eine andere Weiterbildung des erf indungsgemaBen Datentragers 
sieht Speicherplatz vor zur Aufnahme eines 

Identifikationsmerkmals des zum Schreiben eines Datensatzes 
zuletzt verwendeten Schliissels, beispielsweise des dem 
Schliissel zugeordneten Zahlerwertes . Bei einer dritten 
Weiterbildung ist vorgesehen, daB zu jedem Datensatz 
Speicherplatz vorgesehen ist, worin ein 

Identifikationsmerkmal desjenigen Schliissels speicherbar 
ist, mit dem der Datensatz zuletzt geschrieben wurde. Diese 
MaBnahmen ergeben eine Kontrollmoglichkeit iiber die mit der 
Chipkarte zuletzt verwendeten Schliissel - entweder fur die 
gesamte Chipkarte oder fur einzelne Datensatze, 
beispielsweise Berechtigungen . 
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Ein erfindungsgemafier Vorgang, bei dem diese 
Kontrollmoglichkei t genutzt wird, ist bei dem 
erfindungsgemaBen Verfahren dadurch verwirklicht , daB vor 
jeder Benutzung eines Schliissels zum Schreiben oder Lesen 
von Daten gepriift wird, ob der Schliissel alter ist als 
derjenige, dessen Identif ikationsmerkmal auf dem Datentrager 
gespeichert ist und da£ bei positivem Ergebnis dieser 
Priifung die Benutzung des Schlussels abgelehnt wird. So 
konnte man in dem Fall beispielsweise die betroffene 
Chipkarte aus dem Verkehr ziehen, da sie offenbar fehlerhaft 
oder fur einen Betrugsversuch miBbraucht worden ist. 

Damit der Wechsel von einem alten Schliissel zu einem neuen 
reibungslos und automatisch vonstatten geht, ist es 
vorteilhaft, wie es eine Weiterbildung des erfindungsgemaBen 
Verfahrens vorsieht, daB vor jeder Benutzung eines 
Schlussels zum Schreiben oder Lesen von Daten gepriift wird, 
ob er neuer ist als derjenige, dessen Identif ikationsmerkmal 
auf dem Datentrager gespeichert ist, daB bei positivem 
Ergebnis dieser Priifung das gespeicherte 

Identif ikationsmerkmal durch eines des neueren Schlussels 
ersetzt wird und daB alle alteren Schliissel auf dem 
Datentrager unbrauchbar gemacht werden, Auf diese Weise 
werden die Schliissel auf der Chipkarte nach und nach 
verbraucht, bis die Giiltigkeitsdauer der Chipkarte 
abgelaufen ist und sie ungiiltig wird. 

Bei einer anderen vorteilhaf ten Weiterbildung des Verfahrens 
ist vorgesehen, daB ein zu lesender Datensatz , insbesondere 
Berechtigungsdatensatz , der mit einem iiber ein vorgegebenes 
MaB veralteten Schliissel geschrieben ist, verworfen wird. 
Damit laBt sich vermeiden, daB gefalschte Berechtigungen, 
die mit einem entwendeten alteren Schliissel erstellt wurden, 
genutzt werden konnen . 
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Ausf iihrungsbeispiele der Erfindung sind in der Zeichnung 
anhand mehrerer Figuren dargestellt und in der nachf olgenden 
Beschreibung naher erlautert. Es zeigt: 

Fig. 1 ein Endgerat als Blockschaltbild sowie eine 
erf indungsgemafie Ghipkarte , 

Fig, 2 ein Berechtigungssystem, 

Fig. 3 Schliissel und Zahler erfindungsgemafier Chipkarten 
und 

Fig. 4 den Vorgang beim Uberpriifen eines Schlussels. 

Gleiche Teile sind in den Figuren mit gleichen Bezugszeichen 
versehen . 



Das Blockschaltbild gemaB Fig. 1 umfaBt ein Endgerat 11, das 
einen Prozessor 12, ein Sicherheitsmodul 13 und ein 
Karten-Schreib- und Lesegerat 14 enthalt . Ferner ist eine 
Tastatur 15 vorgesehen fur Eingaben durch einen Benutzer, 
falls solche erforderlich sind. Das Sicherheitsmodul 13 ist 
derart gestaltet, da£ Daten- und Programmanderungen sowie 
ein Auslesen von Programmen und Daten nicht moglich sind. 
Die einzelnen Baugruppen des Endgerates 11 sind durch 
Datenleitungen 16 miteinander verbunden. In das Schreib- und 
Lesegerat 14 kann eine Ghipkarte 17 eingefiihrt werden . 

In dem Berechtigungssystem gemaB Fig. 2, das 

erf indungsgemaBe Chipkarten 17 benutzt, werden die 

Sicherheitsmodule 13 der Endgerate 11 von einer physikalisch 

gesicherten Zentrale 20 aus iiber ein Telekommunikationsnetz 

19 mit Hauptschliisseln und anderen Inf ormationen versorgt. 

Diverse Kontrollgerate 21, 22, die immobile Anwendungen 

( Schwimmbader , Telefone) bedienen, sind ebenfalls mit dieser 

Zentrale 20 verbunden. Andere Kontrollgerate 23 bedienen 
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mobile Anwendungen , beispielsweise Buslinien 24, und 
arbeiten autark. Alle Abrechnungen , welche die Endgerate 11 
mit den Chipkarten 17 vornehmen, werden regelmaBig den 
Verrechnungsstellen 25 (z.B. Banken) mitgeteilt. 

Fig. 3 zeigt, wie Schliissel 32, 33 auf den Chipkarten 17, 
17', 17" unbrauchbar werden und wie die Sicherhei tsmodule 13 
mit neuen Hauptschliisseln (Masterkey) 31 versorgt werden. 
Die Hauptschliissel 31 sind entsprechend ihrer zeitlichen 
Giiltigkeit durchnumeriert . Dazu passende Schliissel 32, 33 
auf den Chipkarten 17, 17', 17" sind ebenfalls mit Nummern 
versehen, wobei die Schliissel 33 zu dem mit jeweils gleicher 
Nummer versehenen Hauptschliissel 31 passen. Die jeweils 
durch einen Pfeil symbolisierten Zahler 30, 30', 30" werden 
beispielsweise jedes halbe Jahr inkrementiert , das heiBt bei 
der ersten Benutzung nach diesem Zeitraum. Alle Schliissel 32 
mit einer kleineren Nummer als der Zahlerstand, sind 
unwirksam und daher in der Figur durchgestrichen. Die 
Chipkarten ,1 7 , 17 ! , 17" haben eine Giiltigkeitsdauer von drei 
Jahren, brauchen also jeweils sechs Schliissel 32, 33. Jedes 
Jahr werden neue Chipkarten 17, 17', 17" ausgegeben, so daB 
die neuen Chipkarten 17, 17', 17" jeweils zwei neue 
Schliissel 33 gegeniiber der jeweils alteren 17, 17" 
benotigen. Die Chipkarte 17 ist demnach etwa zwei Jahre alt, 
Chipkarte 17' ein Jahr und die Chipkarte 17" ist neu . Es 
sind bei diesem Beispiel standig drei Generationen G1 , G2 , 
G3 von Chipkarten mit insgesamt sechs unwirksamen und 
wirksamen Schliisseln 32, 33 im Umlauf . 

Wenn die Zentrale 20 einen neuen Hauptschliissel 31 an die 
Sicherheitsmodule 13 verteilt, werden nach und nach die 
Zahler 30, 30', 30" aller Chipkarten 17, 17', 17" 
inkrementiert, sobald sie mit einem Sicherhei tsmodul 13 
kommunizieren. Auf diese Weise ist es ausgeschlossen, daB 
ein Betriiger mit dem Diebstahl eines Sicherheitsmoduls 1 3 in 
den Besitz aller Hauptschliissel 31 kommt, die fiir die 
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aktuell giiltigen Chipkarten 17, 17', 17" vorgehalten werden 
miissen. Er hat nur die Chance, einen einzigen Hauptschliissel 
31 (mit der Nummer 5) zu erbeuten . Innerhalb des halben 
Jahres, in dem der erbeutete Hauptschliissel 31 giiltig ist 
laBt sich ein Betrug jedoch kaum gewinnbringend ausfiihren. 

Das FluBdiagramm gemaB Fig. 4 zeigt die Anwendung eines 
Schliissels, wobei nach einem Start bei 40 bei 41 der neue 
Schliissel KN und bei 42 der alte Schliissel KO gelesen 
werden. Bei 43 wird gepruft, ob der neue Schliissel KN neuer 
als oder gleich alt wie der bis dahin verwendete alte 
Schliissel KO ist. Ist dies nicht der Fall, wird die 
Operation bei 44 abgebrochen. Anderenfalls wird bei 45 
gepriift, ob der neue Schliissel KN neuer als der alte 
Schliissel KO ist. Zutref f endenf alls wird im Schritt 46 KO 
auf KN gesetzt. In beiden Fallen wird bei 47 die 
Berechtigung A freigegeben. 
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Anspriiche 



1 . Tragbarer Datentrager, insbesondere Chipkarte, zum 
Speichern von Daten in Form von Datensatzen, wobei zur 
Absicherung des Schreibens und Lesens der Datensatze 
kryptographische Schliissel (32, 33) auf dem Datentrager (7) 
gespeichert sind, dadurch gekennzeichnet, daB eine Reihe von 
Schliisseln (32, 33) fur den jeweiligen Verwendungszweck auf 
dem Datentrager (7) gespeichert ist und daB Mittel (30) zur 
Unbrauchbarmachung von Schliisseln (32, 33) im Datentrager 
(7) vorgesehen sind. 

2. Datentrager nach Anspruch 1, dadurch gekennzeichnet , 
daB als Mittel zur Unbrauchbarmachung ein Zahler (30) 
vorgesehen ist, wobei jedem Schliissel (32, 33) auf dem 
Datentrager ein Zahlerwert zugeordnet ist, daB der Zahler 
(30) nicht dekrementierbar ist und daB diejenigen Schliissel 
(32) unbrauchbar sind, deren Zahlerwert kleiner als der 
Zahlerstand ist. 

3. Datentrager nach einem der vorhergehenden Anspriiche, 
gekennzeichnet durch Speicherplatz zur Aufnahme eines 
Identif ikationsmerkmals (42) des zum Schreiben eines 
Datensatzes zuletzt verwendeten Schliissels (33), 
beispielsweise des dem Schliissel (33) zugeordneten 
Zahlerwertes . 
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4. Datentrager nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, dafi in jedem Datensatz, insbesondere 
Berechtigungsdatensatz , Speicherplatz vorgesehen ist, worin 
ein Identif ikationsmerkmal (42) desjenigen Schliissels (33) 
speicherbar ist, mit dem der Datensatz zuletzt geschrieben 
wurde , 

5. Verfahren zur Benutzung eines Datentragers nach einem 
der vorhergehenden Anspriiche, dadurch gekennzeichnet , dafi 
vor jeder Benutzung eines Schliissels (33) zum Schreiben oder 
Lesen von Daten gepriift wird, ob der Schliissel (33) alter 
ist als derjenige, dessen Identif ikationsmerkmal (42) auf 
dem Datentrager gespeichert ist und dafi bei positivem 
Ergebnis dieser Priifung die Benutzung des Schliissels (33) 
abgelehnt wird. 

6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dafi 
vor jeder Benutzung eines Schliissels (33) zum Schreiben oder 
Lesen von Daten gepriift wird, ob er neuer ist als derjenige, 
dessen Identif ikationsmerkmal (42) auf dem Datentrager 
gespeichert ist, dafi bei positivem Ergebnis dieser Priifung 
das gespeicherte Identif ikationsmerkmal (42) durch eines 
(40) des neueren Schliissels ersetzt wird und dafi alle 
alteren Schliissel (32) auf dem Datentrager unbrauchbar 
gemacht werden. 

7. Verfahren nach einem der Anspriiche 5 oder 6, dadurch 
gekennzeichnet, dafi ein zu lesender Datensatz, insbesondere 
Berechtigungsdatensatz, der mit einem iiber ein vorgegebenes 
Mafi veralteten Schliissel geschrieben ist, verworfen wird und 
insbesondere die Berechtigung verworfen wird. 
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